Katalog
concept#Sicherheit#Beobachtbarkeit#Plattform#Softwareentwicklung

Malware

Grundlegendes Konzept schädlicher Software, deren Typen, Verbreitungswege und Auswirkungen auf Systeme und Organisationen.

Malware bezeichnet schädliche Software, die Systeme kompromittiert, Daten stiehlt oder unautorisiert steuert.
Etabliert
Hoch

Klassifikation

  • Hoch
  • Technisch
  • Architektur
  • Fortgeschritten

Technischer Kontext

SIEM-Lösung zur Korrelation von LogsEDR/Endpoint-Lösung für Telemetrie und ContainmentThreat-Intelligence-Plattform für IOC-Management

Prinzipien & Ziele

Defense-in-Depth: Mehrschichtige Schutzmaßnahmen reduzieren Erfolgschancen von Malware.Least Privilege: Einschränkung von Rechten vermindert Ausbreitungswege.Indikatoren teilen: Relevante IOCs systematisch austauschen und korrelieren.
Betrieb
Unternehmen, Domäne, Team

Use Cases & Szenarien

Kompromisse

  • Datenverlust oder -exfiltration durch unentdeckte Malware.
  • Betriebsunterbrechungen durch Verschlüsselung oder Sabotage.
  • Reputations- und Rechtsrisiken durch kompromittierte Systeme.
  • Zentrale Sammlung und Langzeitaufbewahrung relevanter Telemetrie.
  • Automatisierte Playbooks für häufige Malware-Szenarien.
  • Enge Zusammenarbeit zwischen Security, IT und Produktteams.

I/O & Ressourcen

  • Netzwerk-Telemetrie (Flows, DNS, Proxy-Logs)
  • Endpunkt-Logs und Prozess-Metadaten
  • Threat-Intelligence-Feeds und IOCs
  • Liste von IOCs und Hunt-Hinweisen
  • Containment- und Remediation-Anweisungen
  • Forensische Berichte und Lessons-Learned

Beschreibung

Malware bezeichnet schädliche Software, die Systeme kompromittiert, Daten stiehlt oder unautorisiert steuert. Sie umfasst Viren, Würmer, Trojaner, Ransomware und Spyware sowie moderne, polymorphe Varianten. Es beschreibt Angriffsvektoren, Verbreitungsmechanismen und wirtschaftliche Motive der Akteure und ist Grundlage für Prävention, Monitoring und Incident Response.

  • Erhöhte Resilienz durch gezielte Detection- und Response-Strategien.
  • Besseres Risikoverständnis durch Klassifikation von Malware-Typen und TTPs.
  • Klare Handlungsanleitungen für Forensik und Wiederherstellung nach Vorfällen.

  • Ständige Evolution: Signaturbasierte Verfahren sind schnell veraltet.
  • False Positives/Negatives bei Heuristiken und Machine-Learning-Ansätzen.
  • Eingeschränkte Aussagekraft ohne Kontext und umfassende Telemetrie.

  • Erkennungsrate

    Anteil erkannter Malware-Vorfälle an allen tatsächlichen Vorfällen.

  • Mean Time to Detect (MTTD)

    Durchschnittliche Zeit zwischen Erstkompromittierung und Erkennung.

  • Anzahl bestätigter Vorfälle pro Zeitraum

    Gezählte, validierte Malware-Vorfälle innerhalb eines definierten Zeitraums.

WannaCry-Ausbruch (2017)

Ransomware, die weltweit Systeme verschlüsselte und kritische Infrastrukturen traf; Quelle für Lessons Learned zu Patch-Management und Segmentierung.

Emotet-Kampagnen

Modulare Malware-Familie, die als Loader dient und umfangreiche Credential-Stealing- und Spam-Ketten ermöglichte.

NotPetya (2017)

Zerstörerische Malware mit massiver Ausbreitung über Netzwerkmechanismen; Beispiel für Supply-Chain- und Netzwerk-Risiken.

1

Bestandsaufnahme der vorhandenen Telemetriequellen und Integrationen

2

Einrichten von Erkennungsregeln und Baselines in SIEM/EDR

3

Aufbau eines Incident-Response-Prozesses inkl. Playbooks

4

Regelmäßige Übungen und Postmortems zur Verbesserung

⚠️ Technische Schulden & Engpässe

  • Legacy-Endpoints ohne EDR bleiben schwer analysierbar.
  • Fragmentierte Log-Infrastruktur erschwert Korrelation.
  • Alte Signaturdatenbanken und fehlende Feature-Updates in Detection-Tools.
Echtzeit-ErkennungForensische AnalysekapazitätAlert-Volumen/Signalrauschen
  • Blockieren von Telemetrie-Quellen durch Overblocking und damit blinder Fleck.
  • Unkritische Verteilung IOCs ohne Kontext erzeugt Alert-Müdigkeit.
  • Einsatz ungetesteter Detektions-Skripte in Produktion verhindert Forensik.
  • Vertrauen auf einzelne Tools statt auf Prozess- und Datenintegration.
  • Fehlende Priorisierung von Alerts nach Risikokontext.
  • Unzureichende Aufbewahrung von Roh-Telemetrie für Nachuntersuchungen.
Malware-Analyse und Reverse EngineeringNetzwerkforensik und Log-KorrelationIncident Response und Bedrohungsjagd (Hunting)
Schnelle Erkennungszeit und geringe False-Positive-RateSkalierbare Telemetrie-Aggregation und -KorrelationIntegrationsfähigkeit mit Forensik- und Response-Tools
  • Rechtliche Vorgaben zum Umgang mit Telemetrie und personenbezogenen Daten
  • Begrenzte Speicher- und Analysekapazitäten für hohe Telemetrievolumina
  • Heterogene Systemlandschaft erschwert standardisierte Erkennung